Impostare il frequenza per la frequenza di esecuzione query - come frequentemente ogni 5 minuti o di frequenza minima di una volta al giorno.Set the Frequency for how often the query is run - as frequently as every 5 minutes or as infrequently as once a day.

Impostare il periodo per controllare l'intervallo di tempo per la quantità di dati viene eseguita la query in - ad esempio, è possibile eseguire ogni ora tra 60 minuti di dati.Set the Period to control the time window for how much data the query runs on - for example, it can run every hour across 60 minutes of data.

È anche possibile impostare il eliminazione.You can also set the Suppression.L'eliminazione è utile quando si vuole arrestare gli avvisi duplicati attivazione per lo stesso evento imprevisto.Suppression is useful when you want to stop duplicate alerts from being triggered for the same incident.In questo modo, è possibile arrestare gli avvisi da attivati durante un periodo specifico.In this way, you can stop alerts from being triggered during a specific period.Ciò consente di evitare avvisi duplicati per lo stesso evento imprevisto e consentono di eliminare gli avvisi consecutivi per un periodo di tempo.This can help you avoid duplicate alerts for the same incident and allow you to suppress consecutive alerts for a period of time.Ad esempio, se il avviso pianificazionefrequenza è impostato su 60 minuti e il stagione di avviso è impostato su due ore, e i risultati della query superata definito soglia, attiverà un avviso due volte, una volta quando viene prima rilevato negli ultimi 60 minuti, e anche in questo caso quando è nei primi 60 minuti 2 ore di dati verranno campionati.For example, if the Alert schedulingFrequency is set to 60 minutes, and the Alert scheduling Period is set to two hours, and the query results surpassed the defined threshold, it will trigger an alert twice, once when it is first detected over the last 60 minutes, and again when it is in the first 60 minutes of the 2-hours of data being sampled.È consigliabile che, se viene attivato un avviso, verificare che l'eliminazione deve essere la quantità di tempo impostato nel periodo di avviso.We recommend that if an alert is triggered, the suppression should be for the amount of time set in the alert period.Nel nostro esempio, è possibile impostare la soppressione per 60 minuti, in modo che gli avvisi vengono attivati solo per gli eventi che si sono verificati durante l'ora più recente.In our example, you might want to set suppression for 60 minutes, so that alerts are only triggered for events that happened during the most recent hour.

Dopo che incollare la query nella regola di avviso Set campo, è possibile visualizzare immediatamente una simulazione dell'avviso in simulazione degli avvisi per la logica in modo che è possibile ottenere la comprensione del modo in cui la quantità di dati sarà generato in un intervallo di tempo specifico per l'avviso che è stato creato.After you paste your query into the Set alert rule field, you can immediately see a simulation of the alert under Logic alert simulation so that you can gain understanding of how much data will be generated over a specific time interval for the alert you created.Procedura varia a seconda di ciò che è impostato per Frequency e soglia.This will depend on what you set for Frequency and Threshold.Se viene visualizzato che in Media, l'avviso verrà attivato una frequenza eccessiva, è opportuno impostare il numero di risultati superiore in modo che sia sopra la linea di base medio.If you see that on average, your alert will be triggered too frequently, you will want to set the number of results higher so that it's above your average baseline.

I risultati le regole di avviso possono essere visualizzati nel casi pagina, in cui è possibile valutare analizzare casi, e risolvere le minacce.The results of the alert rules can be seen in the Cases page, where you can triage, investigate cases, and remediate the threats.

Rispondere alle minacceRespond to threats

Sentinel Azure offre due opzioni principali per rispondere alle minacce tramite Playbook.Azure Sentinel gives you two primary options for responding to threats using playbooks.È possibile impostare un playbook da eseguire automaticamente quando viene attivato un avviso oppure è possibile eseguire manualmente un playbook in risposta a un avviso.You can set a playbook to run automatically when an alert is triggered, or you can manually run a playbook in response to an alert.